ChatGPT ile Kişisel Veri İşlemek Yasal mı? (KVKK Açısından Ayrıntılı ve Net Rehber – 2026)
“ChatGPT’ye müşteri verisi girilebilir mi?”, “Çalışan CV’sini ChatGPT’ye analiz ettirebilir miyiz?”, “ChatGPT kullanmak KVKK ihlali mi?”
soruları 2025–2026 döneminde şirket içi kullanımda en çok risk doğuran konuların başında gelir.
Kısa cevap basit değildir: hukuki çerçeve doğru kurulmazsa ciddi ihlal riski vardır.
Bu rehberde; ChatGPT’nin KVKK’daki konumu, hangi kullanımların genelde güvenli, hangilerinin yüksek riskli olduğu,
açık rıza / veri aktarımı / sorumluluk başlıkları ve şirketler için uygulanabilir uyum haritası ele alınmaktadır.
1️⃣ Temel Sorunun Cevabı (Net)
🔴 Ancak: ChatGPT’ye kişisel veri giriliyorsa bu, KVKK kapsamında veri işleme sayılabilir ve sıkı şartlara tabidir.
KVKK aracı değil; kişisel verinin nasıl işlendiğini, nereye aktarıldığını, hangi amaçla kullanıldığını denetler.
Bu nedenle kritik soru şudur:
“ChatGPT’ye ne veriyoruz, hangi amaçla veriyoruz, hangi hukuki sebebe dayanıyoruz ve bu veri nereye gidiyor?”
2️⃣ ChatGPT KVKK Açısından Ne Sayılır?
Uygulamada ChatGPT (ve benzeri generatif AI servisleri) çoğu senaryoda:
- Yazılım / yapay zekâ aracı (hizmet sağlayıcı)
- Veriyi şirket adına işliyorsa veri işleyen rolüne yakın
- Aracı kullanan şirket ise çoğunlukla veri sorumlusu
“ChatGPT yaptı” veya “araç otomatik üretti” savunması, veri sorumlusu yükümlülüklerini ortadan kaldırmaz.
3️⃣ ChatGPT’ye Girilen Veri Ne Zaman KVKK Kapsamına Girer? (Tanımlanabilirlik Eşiği)
Aşağıdakilerden biri varsa KVKK devrededir:
- Gerçek kişiyi tanımlayan bilgi (ad, e-posta, telefon, TCKN, müşteri no, çalışan sicil no vb.)
- Kişi dolaylı tanımlanabiliyorsa (küçük ekip + görev + lokasyon gibi kombinasyonlarla)
- Metin/CV/e-posta/kayıt mesaj gibi içerikler gerçek kişiye aitse
- Çıktı, gerçek kişi hakkında etki doğuruyorsa (eleme, puanlama, risk sınıflandırma vb.)
Evet → KVKK riski var. Hayır → KVKK kapsamı azalır (ama ticari sır/iş sırları riski devam edebilir).
4️⃣ ChatGPT ile Yapılması GENELDE Güvenli Olan Kullanımlar
✅ 1) Kişisel Veri İçermeyen Kullanımlar
- Blog, reklam metni, ürün açıklaması, sunum taslağı
- Genel hukuki/teknik analiz (kişisel veri olmadan)
- Kod üretimi / debugging (kişisel veri ve gizli anahtarlar olmadan)
- Kurgusal senaryolar
Bu senaryolarda KVKK riski genellikle düşüktür. Yine de kurumsal kullanımda ticari sır ve gizlilik boyutu için
“paylaşılmaması gereken bilgi” listesi oluşturulması önerilir.
✅ 2) Anonimleştirilmiş / Maskeleme Uygulanmış Veri
- İsim/iletişim bilgileri çıkarılmış
- Kimliklendiriciler maskelenmiş (örn. “Müşteri-001”)
- Metinden kişi/kurum tanımlayıcıları temizlenmiş
“Anonim sandık” yaklaşımı denetimde zayıf kalır.
5️⃣ ChatGPT ile Yapılması Yüksek Riskli / Aykırı Olabilecek Kullanımlar
🔴 1) CV’leri Olduğu Gibi ChatGPT’ye Yüklemek
- İşe alım değerlendirmesi / aday karşılaştırması
- Otomatik eleme / skor üretimi
- Aday hakkında yorum ve profil çıkarımı
Hukuki sebep ve süreç kontrolleri net değilse ihlal riski yüksektir.
🔴 2) Müşteri / Çalışan Verilerini ChatGPT ile Analiz Ettirmek
- Şikâyet e-postalarını kopyalayıp özetletmek
- Çağrı merkezi konuşma dökümlerini yüklemek
- Performans değerlendirme notlarını analiz ettirmek
Bu kullanım, “amaç dışı veri işleme”, “minimizasyon ihlali” ve “veri güvenliği” riskini büyütür.
Ayrıca “ilgili kişi hakları” (erişim, düzeltme, itiraz) açısından süreç tasarımı gerektirir.
🔴 3) Otomatik Karar / Profiling (İnsan Müdahalesi Olmadan)
“Bu kişi uygun değil”, “Bu müşteri riskli” gibi çıktılar gerçek kişi üzerinde sonuç doğuruyorsa,
insan kontrolü ve gerekçelendirilebilirlik ihtiyacı artar.
denetimde savunma gücü ciddi şekilde düşer.
6️⃣ ChatGPT Kullanımında Açık Rıza Gerekir mi?
Açık rıza ihtiyacını artıran tipik durumlar:
- Veri işleme, sözleşmenin kurulması/ifasıyla doğrudan gerekli değilse
- Özel nitelikli kişisel veri (sağlık vb.) işleniyorsa
- Veri, “analiz/yorumlama/profil çıkarma” gibi ikincil amaçlarla kullanılıyorsa
- Veri, model eğitimi / iyileştirme gibi amaçlarla değerlendiriliyorsa
Açık rıza belirli, bilgilendirmeye dayalı, özgür iradeyle verilmiş ve geri alınabilir olmalıdır.
7️⃣ En Kritik Başlık: Yurt Dışına Veri Aktarımı Riski
ChatGPT ve benzeri servisler çoğunlukla bulut tabanlıdır ve altyapı lokasyonları yurt dışında olabilir.
Bu durum, kişisel verinin yurt dışına aktarımı riskini doğurur.
- Veri hangi ülkeye/ülkelere gidiyor?
- Alt işleyenler (sub-processor) kim?
- Veri ne kadar süre tutuluyor?
- Log/telemetri kayıtları kişisel veri içeriyor mu?
Şirket içi kullanım iddiası, yurt dışı aktarım riskini otomatik olarak ortadan kaldırmaz.
8️⃣ “Şirket İçi Kullanım” Savunması Geçerli mi?
“Biz iç kullanım için yaptık”, “kimse görmedi” gibi savunmalar tek başına yeterli değildir.
KVKK açısından önemli olan; verinin hangi sisteme girdiği, kimlerin erişebildiği,
ne amaçla işlendiği ve güvenlik tedbirlerinin uygulanıp uygulanmadığıdır.
9️⃣ 2026 Perspektifi: Denetimde Savunulabilir Olmak Ne Demek?
2026 itibarıyla “AI kullanıyoruz” değil, “AI’yı kontrollü ve ispatlanabilir kullanıyoruz” seviyesi aranır.
Denetimde savunmayı güçlendiren bileşenler:
- Kullanım senaryosu envanteri (kim, ne için, hangi araç?)
- Veri sınıflandırması (yasaklı veri listesi / hassas veri)
- Hukuki sebep matrisi (m.5/m.6)
- Aydınlatma ve iç politika (AI kullanım politikası)
- Teknik tedbirler (DLP, maskeleme, erişim kontrolü)
- İnsan müdahalesi (yüksek etki doğuran kararlar)
- Loglama & ispat (kim neyi ne zaman yaptı?)
🔟 Şirketler İçin ChatGPT + KVKK Uyum Yol Haritası
- Senaryo haritası: ChatGPT hangi süreçte, ne amaçla kullanılıyor?
- Veri envanteri: Promptlara girilen veri türlerini sınıflandırın (kişisel / özel nitelikli / ticari sır).
- Yasaklı veri listesi: CV, kimlik, sağlık, müşteri şikâyet metni gibi içerikler için “girme” kuralı belirleyin.
- Maskeleme standardı: İsim/iletişim temizliği + dolaylı tanımlayıcı kontrolü.
- Aktarım değerlendirmesi: Yurt dışı riskini ve sözleşmesel/teknik kontrolleri netleştirin.
- İnsan kontrolü: Profiling/eleme/puanlama gibi çıktılarda karar tek başına AI’ya bırakılmasın.
- Loglama: Kullanım kayıtları, amaç, tarih-saat, kullanıcı/rol bazlı izleme.
- Politika & eğitim: “AI Kullanım Politikası” + ekip eğitimleri + onaylı araç listesi.
1️⃣1️⃣ En Sık Yapılan Tehlikeli Hatalar
- CV’leri, müşteri e-postalarını veya şikâyet kayıtlarını olduğu gibi kopyalayıp yapıştırmak
- “ChatGPT gizli, paylaşılmıyor” varsayımıyla hareket etmek
- Açık rızayı genel metne ekleyip geçerli saymak
- Maskeleme/anonimleştirme yapmamak
- Kullanımı kayıt altına almamak (ispat yoksa risk büyür)
✅ Kısa Özet (Yönetici İçin)
- ✔️ ChatGPT kullanmak yasak değil.
- ❌ Kişisel veriyi kontrolsüz girmek riskli.
- ✔️ Anonim/maskeleme ile kullanım daha güvenli.
- ❌ Otomatik karar + insan yok = yüksek risk.
🧠 Uzman Görüşü (Net)
KVKK açısından mesele “ChatGPT kullandınız mı?” değil; “ChatGPT’ye ne verdiniz?” sorusudur.
Doğru kurgulanmış kullanım; verim artırır ve riski yönetilebilir kılar.
Yanlış kullanım ise idari yaptırım, itibar kaybı ve denetim bulgusu riskini yükseltir.
ChatGPT & AI Kullanım Politikası ve KVKK Uyum Haritası Hazırlayalım
